**1.Ch4inrulz-**靶机介绍
弗兰克有一个小网站,他是一个聪明的开发人员,具有正常的安全背景,他总是喜欢遵循模式,您的目标是发现任何关键漏洞并获得对系统的访问权限,然后您需要获得root访问权限才能捕获根标志。
这台机器是为约旦的顶级黑客2018 CTF制作的,我们试图让它模拟现实世界的攻击,以提高您的渗透测试技能。
该机器在vmware(播放器/工作站)上进行了测试并且工作没有任何问题,因此我们建议使用VMware来运行它,使用virtualbox也可以正常工作。
难度:中级,您需要跳出框框思考并收集所有拼图才能完成工作。
Happy Hacking !
地址:ch4inrulz: 1.0.1 ~ VulnHub
**2.**信息收集
1)使用nmap扫描全网段,拿到目标机的IP地址和MAC地址
** 2) **对ip地址进一步扫描,获取端口和服务版本信息
可以看到 有21 端口的ftp服务开启,可以进行cain嗅探,FTP爆破(hydra和MSF),匿名访问。
22 端口的SSH服务开启,SSH弱口令破解,(而且版本是Open ssh 5.9p1,推测可能存在Open ssh漏洞)
80端口的HTTP服务开启,版本是Apache 2.2.22,等下可以搜一下版本漏洞
输入 192.168.1.221:80 回车
查看源码
( 也许可以进行WEB渗透? )
8011端口的HTTP开启,自定义端口,好像是一个代理?可进一步探测。
3****) Nmap 使用脚本对目标进行漏洞扫描
因为靶机比较老了,所以很多漏洞已经复现了,扫出来很多
从SSH 中不出所料,可以找到Open ssh 的漏洞
SSV:60656这个漏洞是2010年的,配置服务器拒绝服务,远程攻击者可利用此漏洞耗尽服务器上连接槽,触发dos攻击。
ssv:90447 是利用OpenSSH 客户端的默认配置中被启用使得客户端信息泄漏和缓冲区溢出
SQL注入和DOM型XSS都未发现,利用的可能性不大。
Apache 2.2.22 版本漏洞
Apache 2.2.34 2.4.27 内存泄漏
DAY-ID-22451 堆缓冲区溢出漏洞
CVE-2012-0883 本地权限提升 可提权为ROOT权限
CVE-2017-9798 泄露 Apache 服务器内存
CVE-2013-5704 模块安全限制绕过漏洞 使攻击者绕过安全规则
CVE-2013-6438,CVE-2014-0098
CVE-2013-1896 DOS攻击
*漏洞扫描基本是Open SSH 和 Apache 老版本的漏洞,有一些可以利用,继续信息收集。*
- Dirsearch dirbuster 御剑 对靶机网页敏感目录扫描
安装 dirsearch apt-get update apt-get install dirsearch
扫描目录
Dirsearch扫描出来的有敏感目录:
/development
-401 未授权,认证失败 ,
对于需要登录的网页,服务器可能返回此响应
出来个登陆后台
/roboots.txt robots.txt是专门针对搜索引擎机器人robot编写的一个纯文本,
**在文件中被指定的网站,可以不被搜索引擎收录,因此这些重要的网站就不会被访问到。**
**(**进去被嘲讽了,不过robots 文件目的是防止被爬取敏感目录)
/index.html.bak [网站备份文件 .rar、.zip、.7z、.tar、.gz、.bak]
找到一个线索
换个8011端口扫描试试
发现有个api接口,可以进去
**3.**整理初步思路
** 1****)**** 22****端口**** ssh ****使用****Metasploit****利用扫描出来的****OpenSSH ****漏洞直接拿到****Root ****权限,进而拿到****flag****。**
** 2) 80端口 8011端口 HTTP 根据扫出来的目录与敏感文件密码破解后台进行Web**渗透
** 3) 利用Apache 2.22 多种漏洞渗透(拒绝服务,缓冲区溢出,中间件,提权)** 比较复杂。
**4.**渗透测试
2)从之前的敏感目录文件得到了一个登陆后台,一个账号密码:
**frank:$apr1$1oIGDEDK$/aVFPluYt56UvslZMBDoC0**
应该是一个Linux 账户,用户是 frank 密码是通过哈希加盐(Hash+salt)的密文,
开始的$apr1$位为加密标志,后面8位为salt,后面的为hash.
加密算法:2000次循环调用MD5加密
通过Hashcat 破解密码 跑了半天死活跑不出来,不知道是Hashcat 不支持 破解$arp1型还是字典,操作问题。
(Hashcat 支持的破解类型)
没办法,同过John 来破解试试
John 倒是破解出来了,还好密码设置得简单。。。
是一个文件上传的页面,可以把PHP木马上传上去。
nc监听端口1234
得到shell:
获取标准shell:python -c 'import pty; pty.spawn("/bin/bash")'
查看内核:uname -a
/tmp文件夹中可以写文件:
vim /etc/apache2/ports.conf
/etc/init.d/apache2 start
cp /usr/share/exploitdb/exploits/linux/local/40839.c /var/www/html
编译执行:
gcc -pthread 40839.c -o dirty -lcrypt
./dirty
执行结果:
输入新的密码
切换用户:
成功获取到flag:
5.总结
这个靶机是比较老了,是一个技术博客网站,但是进行了很多不安全的设置导致可以进行常规渗透,难度不大,适合新手练手。
版权归原作者 穹渊安全 所有, 如有侵权,请联系我们删除。